Como impedir o spam de formulários de contato no WordPress

Você está enfrentando muitos spams de formulários de contato no WordPress?

Uma das maiores ameaças a qualquer site que use formulários de contato é a possibilidade de abuso de formulários e spam.

Felizmente, há maneiras de combater efetivamente o spam de formulários de contato no WordPress que não exigem que você lide com ele manualmente.

Neste post, explicaremos como usar diferentes técnicas para bloquear o spam do formulário de contato no WordPress.

Por que o spam de formulários de contato é perigoso

Os formulários de contato no WordPress sempre foram alvos fáceis para programas mal-intencionados de spam. Aqui estão algumas maneiras pelas quais os spambots podem prejudicar seu site abusando dos formulários de contato:

• Enviar links prejudiciais: Spambots com intenções mal-intencionadas podem usar seu formulário de contato para enviar links que podem conter malware. Se algum usuário da sua equipe clicar no link, o malware poderá infectar toda a organização, inclusive o seu site WordPress.
• Problemas de capacidade de entrega de e-mail: Cada envio de formulário gera um e-mail de notificação, portanto, seu site pode começar a enviar um volume excepcionalmente alto de e-mails se seus formulários estiverem sendo atacados. Isso pode fazer com que erros de e-mail não solicitados ou em massa apareçam em seu site.
• Negação de serviço (DoS): Alguns bots são altamente eficientes em preencher repetidamente seus formulários até o limite. O objetivo dos bots de DoS é sobrecarregar seu site com toneladas de solicitações feitas em um curto espaço de tempo. Isso pode tornar seu site mais lento, afetar a funcionalidade do formulário para usuários reais e até mesmo causar uma interrupção do site.
• Hacking: Os programas automatizados de ataque de força bruta podem visar sites com formulários de registro e login de usuários com o objetivo de invadir os usuários. Isso é extremamente perigoso porque pode levar a invasões de contas, vazamentos de informações e perdas de dados.
• Perdas de produtividade: Se a sua equipe de suporte tiver que filtrar toneladas de entradas de spam, isso afetará a capacidade de responder rapidamente aos usuários reais. O impacto na produtividade pode prejudicar a reputação de sua marca e se traduzir em muitas oportunidades perdidas de conversões.

Essas são algumas das maneiras pelas quais o spam pode causar muitos problemas para seu site.

Mas a boa notícia é que bloquear o spam de formulários de contato é extremamente fácil. A seguir, mostraremos as melhores ferramentas e técnicas que você pode usar para se livrar do spam de formulários de contato de uma vez por todas.

Como impedir o spam de formulários de contato no WordPress

Para combater com êxito o spam de formulários de contato no seu site WordPress, recomendamos o seguinte:

Vamos nos aprofundar no assunto.

1. Obtenha um plug-in de formulário do WordPress com proteção contra spam incorporada

A medida mais importante que você pode tomar para evitar spam de formulário de contato no WordPress é usar um plug-in que tenha fortes recursos integrados de proteção contra spam.

Existem muitos plug-ins de formulário do WordPress, mas muitos não oferecem suporte a métodos anti-spam confiáveis.

Para obter a prevenção automatizada de spam mais fácil incorporada ao seu formulário de contato, recomendamos o uso do WPForms.

O WPForms é um construtor de formulários extremamente bem equipado para lidar com spam de formulários de contato, como mostraremos a seguir. Ele também vem com uma variedade de outros recursos úteis sobre os quais você pode saber mais em nossa análise do WPForms.

Depois de instalar o WPForms, vá em frente e adicione um formulário a uma página no WordPress. Em seguida, você pode escolher entre vários métodos anti-spam disponíveis.

Começaremos com a opção mais fácil, porém altamente confiável.

2. Use a moderna proteção anti-spam do WPForms

O WPForms usa uma abordagem integrada em várias camadas para detectar e evitar spam. É a maneira mais fácil de bloquear spam de formulários de contato e é a nossa alternativa reCAPTCHA mais recomendada.

A proteção antispam moderna é ativada por padrão no WPForms e é executada silenciosamente em segundo plano para combater o spam. Você pode acessar as configurações dela navegando até Configurações " Proteção contra spam e segurança na interface visual do WPForms.

Em seguida, verifique se o botão de alternância ao lado de Enable modern anti-spam protection está ativado.

Quando essa configuração estiver ativada, ela impedirá que um formulário seja enviado quando um bot de spam acionar a proteção contra spam.

Você também tem a opção de armazenar entradas de spam em seu banco de dados do WordPress para revisar os envios e recuperar facilmente quaisquer entradas falsas positivas.

A opção Ativar tempo mínimo para envio também é ativada por padrão e definida como 2 segundos. Mas você pode alterar esse tempo mínimo para qualquer valor que desejar. Essa configuração ajuda a evitar que os bots enviem seu formulário, pois impedirá os envios antes do tempo normal que um ser humano levaria para preencher o formulário.

A proteção antispam do WPForms é, de longe, a melhor técnica de bloqueio de spam, pois é mais favorável à privacidade do que outras e proporciona a melhor experiência ao usuário.

3. Incluir o reCAPTCHA

O WPForms também oferece suporte a ferramentas de prevenção de spam de terceiros, como o reCAPTCHA do Google. Esse é um método muito poderoso de proteção contra spam, mas sua configuração leva um pouco mais de tempo do que simplesmente ativar a proteção antispam moderna, conforme mostrado na etapa anterior.

Você pode assistir ao vídeo para ver uma demonstração do processo ou continuar lendo para obter instruções passo a passo.

Atualmente, há três tipos diferentes de reCAPTCHA:

• Caixa de seleção reCAPTCHA v2: Essa versão do reCAPTCHA tem uma caixa de seleção que o usuário deve clicar para verificar se não é um bot. Se a atividade do usuário parecer suspeita, ele poderá solicitar que você faça um pequeno teste de verificação de imagem para confirmar que você é um usuário real.
• Invisible reCAPTCHA v2: Com o reCAPTCHA invisível, os usuários não veem uma caixa de seleção. Em vez disso, esse serviço reCAPTCHA analisa o comportamento do usuário para identificar e bloquear bots.
• reCAPTCHA v3: embora os dois serviços acima possam ocasionalmente mostrar um desafio de imagem, o reCAPTCHA v3 funciona de forma totalmente silenciosa em segundo plano. É uma ferramenta avançada de prevenção de spam, mas pode ser um pouco sensível demais e, às vezes, bloquear usuários humanos.

Para adicionar o reCAPTCHA ao seu formulário, abra a área de administração do WordPress e acesse WPForms " Settings.

Clique na guia CAPTCHA na barra horizontal abaixo do logotipo do WPForms.

Esta página mostrará as opções de CAPTCHA disponíveis no WPForms. Selecione reCAPTCHA.

Agora, selecione a versão do reCAPTCHA que você deseja configurar. Recomendamos o Invisible reCAPTCHA v2 por ser fácil de usar, mas você também pode escolher outras opções.

Para configurar o reCAPTCHA, você terá que visitar o site do reCAPTCHA em uma nova guia do navegador e clicar em Admin Console.

Se solicitado, faça login na sua conta do Google agora. Depois de fazer login, será necessário fornecer o nome de domínio do seu site para registrá-lo e selecionar o reCAPTCHA de sua preferência na seção Tipo de reCAPTCHA.

Em seguida, insira o nome de domínio de seu site em Domínios. Certifique-se de digitar somente a parte que vem depois de https:// em seu URL.

Em seguida, aceite os Termos de Serviço do reCAPTCHA e marque os alertas se quiser receber notificações.

Clique em Submit para salvar as configurações. Agora você verá uma mensagem informando que seu domínio foi registrado, com uma chave de site e uma chave secreta abaixo.

Vá para a guia do navegador em que a página WPForms " Configurações está aberta e copie e cole o site reCAPTCHA e as chaves secretas nos campos correspondentes.

Pressione o botão Save Settings (Salvar configurações) para concluir a configuração do reCAPTCHA.

Para adicionar o campo reCAPTCHA ao seu formulário, basta usar a interface de arrastar e soltar do WPForms para colocar o campo em seu formulário.

Seu formulário agora exibirá um emblema reCAPTCHA no frontend, indicando que você adicionou com êxito a prevenção de spam reCAPTCHA ao formulário.

A seguir, examinaremos outro serviço popular de prevenção de spam.

4. Use o hCaptcha em seu formulário

O hCaptcha é muito semelhante ao reCAPTCHA do Google, mas é um serviço de bloqueio de spam mais favorável à privacidade. Você pode assistir ao vídeo que o orienta no processo ou continuar com as instruções escritas abaixo.

Para conectar o serviço hCaptcha ao WPForms, vá para WPForms " Configurações no painel do WordPress.

Na página de configurações, clique na guia CAPTCHA localizada na barra horizontal.

Selecione hCaptcha entre as opções disponíveis.

Como antes, mude para uma nova guia do navegador e visite o hCaptcha para se inscrever no serviço.

Na tela seguinte, escolha um plano do hCaptcha. O plano gratuito funciona perfeitamente bem para sites pequenos, portanto, trabalharemos com ele neste tutorial

Depois de selecionar seu plano, preencha o formulário para criar sua conta hCaptcha.

Depois de concluir o processo de registro e fazer login no painel, clique no botão New Site para continuar.

Na parte superior, você pode inserir um nome para sua chave de site hCpatcha. Em seguida, role para baixo até a seção Informações gerais e insira o nome do seu domínio. Pressione Add New Domain quando terminar.

Role para baixo para encontrar os modos de comportamento do hCaptchab. Você pode escolher entre diferentes modos, dependendo se deseja que os usuários sejam sempre apresentados a um desafio ou se deseja manter o captcha mais passivo.

Em seguida, role a tela para baixo novamente até a seção Passing Threshold (Limite de aprovação). Aqui, você pode definir o nível de dificuldade dos desafios de captcha.

Na maioria dos casos, o nível de dificuldade Moderado é razoavelmente eficaz na prevenção de spam sem comprometer a experiência do usuário (você sempre pode alterar isso posteriormente, se necessário).

Agora, role de volta para a parte superior e pressione Salvar.

Agora você será levado à próxima página, onde encontrará os sites adicionados listados. Clique no botão Settings (Configurações ) ao lado do domínio que você acabou de adicionar.

Nas configurações, role para baixo até a Sitekey e copie-a.

Por enquanto, cole sua Sitekey em um editor de texto como o Bloco de notas. Precisaremos disso em breve.

Depois de fazer isso, clique no ícone do seu perfil no canto superior direito e selecione Settings (Configurações).

Você encontrará sua chave secreta aqui. Clique no botão Copy Secret Key (Copiar chave secreta ).

Ótimo! Agora que você tem a chave do site e a chave secreta, volte à página de configurações do WPForms hCpatcha e cole as chaves nos campos apropriados.

Em seguida, clique em Salvar para concluir a configuração do hCaptcha para WPForms.

Agora, você pode usar o campo hCaptcha ao criar seu formulário usando o WPForms.

Você verá o emblema do hCaptcha na parte superior do formulário quando ele for adicionado com êxito.

Parabéns! Seu formulário agora está protegido contra spam pelo hCaptcha. Se desejar obter instruções mais detalhadas, consulte o nosso guia para adicionar CAPTCHA ao seu formulário de contato usando o hCaptcha.

5. Use o Cloudflare Turnstile

O Turnstile da Cloudflare é uma alternativa gratuita e voltada para a privacidade ao Google reCAPTCHA e ao hCaptcha. Ele pode ser executado de forma totalmente invisível, para que seus visitantes nunca tenham que resolver um quebra-cabeça.

Assista ao vídeo ou siga as etapas abaixo para adicioná-lo a qualquer formulário do WPForms:

Para começar, no painel do WordPress, acesse WPForms " Settings " CAPTCHA e escolha Turnstile na lista de provedores.

Aparecerá um par de campos-chave vazios. Agora, abra uma nova guia, entre na sua conta da Cloudflare e selecione Turnstile " Add site.

Digite um nome e o domínio de seu site nos campos apropriados.

Em seguida, escolha um tipo de widget ( Managed funciona para a maioria dos sites).

Agora, clique em Create (Criar ) para revelar sua Site Key (Chave do site ) e Secret Key (Chave secreta).

Copie a chave do site e a chave secreta da Cloudflare para os campos correspondentes nas configurações do WPForms.

Se desejar, você pode alterar a mensagem de falha que é exibida quando um usuário tenta enviar o formulário sem concluir o desafio de verificação do Cloudflare Turnstile. Você também pode escolher o estilo do widget (escolha um tema Claro / Escuro / Automático ) e, opcionalmente, ativar o modo Sem conflito se outro plug-in ou tema também carregar o Turnstile. Clique em Save Settings (Salvar configurações).

Agora você pode ativar o Cloudflare Turnstile em qualquer formulário. Abra qualquer formulário no construtor. Arraste o campo Turnstile para o formulário ou vá para Configurações " Proteção contra spam e segurança e ative Ativar Cloudflare Turnstile.

Um pequeno emblema de catraca no canto confirma que ele está ativo.

6. Use CAPTCHA personalizado

Somos grandes fãs do CAPTCHA personalizado porque ele é muito eficaz e não exige desafios baseados em imagens que, às vezes, podem ser um pouco complicados para usuários reais.

Os usuários do WPForms Pro podem obter o complemento Custom CAPTCHA para incluir questionários simples baseados em matemática ou uma pergunta e resposta personalizadas em seus formulários para prevenção de spam.

Para configurar o CAPTCHA personalizado, inicie a interface do criador de formulários.

Em seguida, localize o campo Custom CAPTCHA na seção Fancy Fields. Se você ainda não tiver o complemento Custom CAPTCHA, esse campo será semitransparente. Clique nele e você será solicitado a instalar o complemento.

Quando uma janela pop-up for exibida, clique emYes, Install and Activate (Sim, instalar e ativar ) para continuar.

A instalação levará apenas de 2 a 5 segundos para ser concluída. O pop-up exibirá uma mensagem de sucesso quando o complemento Custom CAPTCHA estiver ativo. Clique em Yes, Save and Refresh para continuar.

Agora, arraste e solte o campo Custom CAPTCHA em seu formulário. Clique no campo depois que ele for adicionado ao formulário para acessar suas configurações.

Aqui, você pode selecionar o tipo de CAPTCHA (pergunta e resposta matemática ou personalizada) e adicionar uma descrição.

Se você escolher Math, o WPForms gerará automaticamente uma pergunta aritmética simples que os usuários devem responder corretamente. Os spambots não conseguem responder a essas perguntas de matemática, e é por isso que esse CAPTCHA personalizado é uma técnica muito eficaz de prevenção de spam em formulários de contato.

Como alternativa, você pode escolher Pergunta e resposta como seu tipo de CAPTCHA. Isso permite que você crie uma pergunta e defina sua resposta correta.

Você pode adicionar várias perguntas usando o ícone azul (+) ao lado do campo da pergunta nas configurações.

Não se esqueça de salvar o formulário quando terminar de fazer as alterações.

7. Ativar filtros de spam de país e palavra-chave

O WPForms permite que você bloqueie envios de países específicos ou rejeite qualquer entrada que contenha palavras que você sabe que são spam.

Para ativar esses filtros em qualquer formulário, abra o formulário no construtor e clique em Settings " Spam Protection and Security.

Role até Filtering (Filtragem ) e ative Enable Country Filter (Ativar filtro de país ) ou Enable Keyword Filter (Ativar filtro de palavra-chave).

Use o menu suspenso para escolher Allow (Permitir ) ou Deny (Negar) para países selecionados ou adicione palavras-chave bloqueadas linha por linha.

Qualquer tentativa bloqueada é interrompida antes de chegar à sua caixa de entrada, para que os usuários legítimos nunca vejam uma mensagem de erro.

8. Bloqueio de URLs dentro de campos de texto

Muitos spambots são projetados para distribuir links de phishing por meio de formulários de contato. Às vezes, pode até haver uma pessoa real enviando links maliciosos usando seus formulários. Como você sabe, o CAPTCHA e os tokens de formulário não podem impedir um verdadeiro spammer humano.

Portanto, se estiver recebendo links suspeitos por meio do seu formulário, talvez seja melhor bloquear totalmente os envios de URL nos campos do formulário.

Você pode bloquear URLs em seus campos de formulário adicionando um script PHP. Se quiser saber mais sobre como adicionar trechos de código aos seus formulários, consulte este tutorial sobre como adicionar PHP personalizado ao WPForms.

Use o trecho de código abaixo para bloquear URLs nos campos Texto de linha única e Texto de parágrafo de seu formulário.

Depois de adicionar o código acima ao seu formulário, o WPForms exibirá um erro "Não são permitidos URLs" se um usuário tentar enviar um link nos campos de texto.

9. Use plug-ins antispam para WordPress

Há vários plugins antispam avançados disponíveis para o WordPress. A maioria desses plug-ins funciona por meio da varredura de bancos de dados de conteúdo de spam conhecido, incluindo padrões de palavras que aparecem repetidamente em spam, links comuns, endereços de e-mail e até mesmo endereços IP de usuários e bots.

Algumas ferramentas antispam populares do WordPress são o Akismet e o Jetpack. Lembre-se de que esses plug-ins operam em todo o seu site, portanto, eles não apenas limitarão o spam do formulário de contato, mas também reduzirão os comentários de spam no seu blog.

Recomendamos especialmente o Akismet, pois o WPForms vem com uma integração nativa do Akismet. Quando ativada, essa integração é uma excelente maneira de filtrar spam de formulários de contato no WordPress.

O uso desses plug-ins do WordPress para prevenção de spam, juntamente com outras técnicas que mostramos acima, é uma ótima combinação para aumentar a segurança geral do seu site.

10. Bloqueio de endereços de e-mail de spammers reincidentes

O campo de endereço de e-mail pode ser bastante útil quando se trata de filtrar spammers humanos. Como os remetentes de spam humanos podem facilmente ignorar o CAPTCHA e os tokens de formulário, você precisa de proteções adicionais para bloqueá-los.

Nos casos em que um site está recebendo spam com frequência de endereços de e-mail semelhantes, o bloqueio de endereços de e-mail suspeitos é o caminho a seguir.

Para bloquear um endereço de e-mail, clique no campo E-mail no WPForms. Em seguida, selecione a guia Advanced (Avançado ) no painel esquerdo.

Role a tela para baixo e clique na lista suspensa Allowlist / Denylist e selecione Denylist.

Agora você pode adicionar os endereços de e-mail dos quais deseja bloquear os envios na caixa abaixo da opção Denylist. Você pode inserir vários endereços de e-mail separados por vírgulas.

Você pode usar um asterisco * para bloquear endereços de e-mail com uma correspondência parcial.

Por exemplo, usar um asterisco antes de um domínio de e-mail (como *@domain.com) impedirá que todos os endereços de e-mail desse domínio enviem inscrições.

Ou você também pode bloquear um endereço de e-mail que comece com um nome de usuário específico, colocando um asterisco depois dele (como example*).

Essas regras são ótimas quando você está recebendo spam de endereços de e-mail do mesmo domínio ou nome de usuário.

Não se esqueça de salvar o formulário depois de criar a lista de bloqueios.

11. Exigir verificação de e-mail para novos usuários

Os verdadeiros spammers e bots podem usar e-mails falsos para tentar se inscrever no seu site (supondo que você permita que os usuários se registrem). Uma maneira fácil de desencorajar os spammers de se registrarem com e-mails falsos é exigir a verificação de e-mail, que é uma etapa extra para a qual os spammers não têm paciência.

O WPForms permite que você configure a verificação de e-mail antes que um novo usuário possa registrar sua conta.

Para adicionar a verificação de e-mail, clique em Configurações " Registro de usuário no painel esquerdo da interface do WPForms.

Observação: você precisará do complemento User Registration para WPForms para acessar essas configurações. Se não o tiver, veja como criar um formulário de registro de usuário.

Em seguida, clique em Enable User Registration (Ativar registro de usuário).

Ative o botão de alternância Ativar ativação do usuário.

Isso expandirá um novo menu no qual você poderá selecionar o tipo de ativação como User Email.

Agora, sempre que um usuário tentar registrar sua conta no site, ele terá que fornecer um endereço de e-mail válido para receber um link de registro. Isso significa que não haverá spam de usuários com e-mails falsos!

12. Lista negra de endereços IP com spam

O bloqueio dos endereços IP dos remetentes de spam não é tão eficiente quanto os outros métodos desta lista, pois é fácil falsificar um endereço IP usando proxies e serviços de VPN.

Mas se você notar um padrão de spammers repetidos que retornam ao seu site, poderá bloquear o endereço IP deles para impedir o acesso a todo o seu site WordPress.

Para restringir os usuários por endereço IP, vá para Configurações " Discussão no painel do WordPress e insira os endereços IP que deseja bloquear na caixa Chaves de comentários não permitidos. Se tiver vários endereços IP para bloquear, certifique-se de adicionar cada endereço IP em uma nova linha.

Mas, em primeiro lugar, como você vai encontrar os endereços IP dos remetentes de spam? Para isso, você precisará adicionar a opção {user_ip} em seu conteúdo de notificações de e-mail do WPForms.

Agora, quando você receber uma notificação por e-mail sobre o envio de um formulário, o endereço IP será incluído no conteúdo do e-mail.

Se você perceber que as entradas de spam estão vindo de endereços IP semelhantes, basta anotá-las e adicioná-las à lista de bloqueio de IPs do WordPress, conforme mostrado acima.

Caso o WPForms não esteja enviando e-mails para você, temos um guia dedicado com as etapas de solução de problemas.

E isso é tudo o que temos para você hoje! Esperamos que este guia tenha ajudado você a aprender dicas úteis para impedir o contato de spam no WordPress.

Em seguida, aplique as práticas recomendadas de e-mail de redefinição de senha

Se você tiver um formulário de redefinição de senha em seu site, precisará configurar um e-mail de redefinição de senha claro e seguro com ele. Confira nosso artigo sobre práticas recomendadas de e-mail de redefinição de senha para obter dicas importantes.

E se você quiser melhorar a capacidade de entrega de seu e-mail, consulte nossa postagem sobre subdomínio de e-mail e por que você deve usar um.

Corrija seus e-mails do WordPress agora

Pronto para corrigir seus e-mails? Comece hoje mesmo a usar o melhor plugin SMTP para WordPress. Se você não tiver tempo para corrigir seus e-mails, poderá obter assistência completa da White Glove Setup como uma compra extra, e há uma garantia de reembolso de 14 dias para todos os planos pagos.

Se este artigo o ajudou, siga-nos no Facebook e no Twitter para obter mais dicas e tutoriais sobre o WordPress.